IT風(fēng)險(xiǎn)管理正處于十字路口。有超過2000名美國受訪者參加了最近的一次IT專業(yè)人士ISACA調(diào)查，據(jù)調(diào)查報(bào)告顯示，改善經(jīng)營業(yè)績是驅(qū)動(dòng)他們所在組織IT風(fēng)險(xiǎn)管理的主要?jiǎng)恿?。在印度和澳大利?新西蘭的類似調(diào)查報(bào)告也發(fā)現(xiàn)，驅(qū)動(dòng)力從法規(guī)遵從轉(zhuǎn)向了經(jīng)營業(yè)績。通過比較可以看到，法規(guī)遵從被認(rèn)為是風(fēng)險(xiǎn)管理的首要驅(qū)動(dòng)力，占受訪人群的20%到28%，不同的國家比例略有不同。

對(duì)于IT風(fēng)險(xiǎn)管理者來說，這是一個(gè)絕好的機(jī)會(huì)，他們可以證明IT對(duì)業(yè)務(wù)有更多的影響，尤其是在經(jīng)濟(jì)危機(jī)影響壓力較大的國家。

要利用好這個(gè)機(jī)會(huì)，主動(dòng)的IT風(fēng)險(xiǎn)管理者可以采取下面五個(gè)步驟：

從業(yè)務(wù)方面開始。要帶來業(yè)績方面的益處，需要在IT風(fēng)險(xiǎn)方面投入精力，因?yàn)樗鼈兣c業(yè)務(wù)目標(biāo)密切相關(guān)。

定義風(fēng)險(xiǎn)評(píng)估范圍。要針對(duì)給客戶提供服務(wù)的業(yè)務(wù)活動(dòng)建立框架，而不是針對(duì)技術(shù)。

尋找愿景。對(duì)業(yè)務(wù)資產(chǎn)和資源的威脅，從更寬泛的范圍來看待。

使你的工作更容易。廣泛利用已經(jīng)采納的方法和技術(shù)來評(píng)估和應(yīng)對(duì)風(fēng)險(xiǎn)。不要重新發(fā)明輪子。

把要做的事說清楚。如果你對(duì)業(yè)務(wù)進(jìn)行關(guān)注，請(qǐng)一定讓業(yè)務(wù)領(lǐng)導(dǎo)搞清楚。要使用業(yè)務(wù)的語言清楚地表達(dá)你的計(jì)劃和成就。

面對(duì)新法律和法規(guī)的大肆鼓吹，企業(yè)部門命名都顯得與“合規(guī)和風(fēng)險(xiǎn)”有關(guān)，這樣的調(diào)查結(jié)果多少有點(diǎn)出人意料。與合規(guī)遵守方面的壓力一樣大，企業(yè)領(lǐng)導(dǎo)會(huì)緊緊抓住機(jī)會(huì)，而不是在經(jīng)營業(yè)績背后強(qiáng)調(diào)IT風(fēng)險(xiǎn)管理。從華爾街的報(bào)告中可以很清楚地看到，削減成本的盈利方式并沒有滿足投資者期待的收入增長。標(biāo)準(zhǔn)普爾500指數(shù)從年初至今基本持平。此外，成本削減增加了自身風(fēng)險(xiǎn)。

要實(shí)施第一步，CEO和關(guān)注收入增長的首席財(cái)務(wù)官（CFO）為IT風(fēng)險(xiǎn)管理者變成為IT業(yè)務(wù)風(fēng)險(xiǎn)管理者提供了一個(gè)起步點(diǎn)。請(qǐng)為你的企業(yè)（跟你的角色有關(guān)，也可能是部門）評(píng)估業(yè)務(wù)績效報(bào)告和當(dāng)前IT風(fēng)險(xiǎn)報(bào)告。要看看從業(yè)務(wù)績效度量到IT業(yè)務(wù)風(fēng)險(xiǎn)存在明確的聯(lián)系嗎？業(yè)績度量包括銷量，客戶滿意度，產(chǎn)品發(fā)布時(shí)間以及諸如擴(kuò)張、收購和兼并等策略的成功。

對(duì)于業(yè)務(wù)線，職能部門和區(qū)域主管也有度量，他們被據(jù)此評(píng)估并支付獎(jiǎng)金。要把這些實(shí)實(shí)在在的措施映射成IT必須做的事情，來支持他們。然后確定對(duì)于業(yè)績與IT相關(guān)的風(fēng)險(xiǎn)。例如，市場份額增長可能依賴于新的銷售和支持渠道。這可能依賴于移動(dòng)客戶服務(wù)應(yīng)用程序，它依賴于整個(gè)IT堆棧。

第二步的基礎(chǔ)是由IT績效經(jīng)營業(yè)務(wù)目標(biāo)的這種依賴分析和IT對(duì)業(yè)績的相關(guān)風(fēng)險(xiǎn)提供的。什么樣的風(fēng)險(xiǎn)評(píng)估范圍可以給你更多幫助呢？應(yīng)該從諸如網(wǎng)絡(luò)或者數(shù)據(jù)存儲(chǔ)這類技術(shù)角度構(gòu)建風(fēng)險(xiǎn)框架嗎？或者，是不是面向針對(duì)市場份額增長策略建立風(fēng)險(xiǎn)框架更強(qiáng)大呢？因?yàn)槟憧梢韵蚴紫癄I銷官，CFO以及其他高度關(guān)注業(yè)務(wù)成功的人展示成果。

第三步涉及檢查對(duì)業(yè)務(wù)資產(chǎn)范圍（包括IT堆棧）的更廣范圍的威脅，用來提交風(fēng)險(xiǎn)評(píng)估范圍的商業(yè)利益。對(duì)于IT風(fēng)險(xiǎn)管理者來說，這可能是最困難的轉(zhuǎn)換，這些管理者是從管理IT豎井中的風(fēng)險(xiǎn)（比如：項(xiàng)目管理、安全、恢復(fù)或者變更管理）中提升而來?，F(xiàn)狀，管理者必須評(píng)估來自各方面的威脅，包括自然的，惡意的，意外發(fā)生的，以及業(yè)務(wù)量來源的威脅；要針對(duì)真?zhèn)€IT堆棧進(jìn)行考慮，包括：應(yīng)用程序、中間件、服務(wù)器、數(shù)據(jù)、存儲(chǔ)、網(wǎng)絡(luò)、設(shè)施以及IT管理流程和軟件工具。

第四步：使你的生活更輕松。有太多的企業(yè)都在重新發(fā)明輪子，建立他們自己的風(fēng)險(xiǎn)管理框架來定義一組合規(guī)要求。當(dāng)這些合規(guī)需求發(fā)生變化時(shí)，風(fēng)險(xiǎn)框架中的硬編碼也需要相應(yīng)改變。此外，對(duì)于每個(gè)IT豎井，對(duì)于整個(gè)IT風(fēng)險(xiǎn)的傘狀管理，組織可以利用由專業(yè)組織和標(biāo)準(zhǔn)制定機(jī)構(gòu)提供的一些開放的業(yè)界實(shí)踐和指導(dǎo)。這些工作最好是基于同行評(píng)審進(jìn)行，并經(jīng)常更新，還要培訓(xùn)和建立活躍的用戶社區(qū)。

最后，要獎(jiǎng)勵(lì)在“身體力行”經(jīng)營業(yè)績之路中所有良好的表現(xiàn)，記得要與業(yè)務(wù)方面“交流”。當(dāng)你尋求業(yè)務(wù)案例來支持和報(bào)告結(jié)果時(shí)，你應(yīng)該就業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)加上評(píng)論內(nèi)容，這是與第一步相對(duì)應(yīng)的。同樣的對(duì)應(yīng)關(guān)系現(xiàn)在可以使主管們更容易理解“這對(duì)于我意味著什么”，同時(shí)認(rèn)識(shí)到你的努力如何給他們帶來了收入增長。